Программа Fail2Ban на страже вашего SSH

Ну, как и обещал, делюсь впечатлениями об установленной программе fail2ban.
В репозитории Mandriva 2009.0 имеется версия программы 0.8.3. Ее то я и установил. Для работы, согласно официального сайта http://www.fail2ban.org/wiki/index.php/Requirements,нужен всего лишь Python >=2.3. Программа ставится как системная служба и остается ее только запустить. При этом, с настройками по умолчанию, протокол SSH будет блокироваться для хоста, который в течении 10 минут предпримет 5 безуспешных попыток зайти на машину. Блокировка действует в течении 10 минут. Но при этом в журнале /var/log/fail2ban.log появляются вот такие странные сообщения:

2009-10-11 10:35:49,260 fail2ban.actions.action: ERROR printf %b "Subject: [Fail2Ban] SSH: started
From: Fail2Ban
To: you@mail.com\n
Hi,\n
The jail SSH has been started successfully.\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f fail2ban@mail.com you@mail.com returned 7f00
2009-10-11 10:41:48,176 fail2ban.comm : WARNING Invalid command: ['get', 'bantime']
2009-10-11 10:43:09,483 fail2ban.comm : WARNING Invalid command: ['get', 'bantime']
2009-10-11 10:43:14,575 fail2ban.comm : WARNING Invalid command: ['?']
2009-10-11 10:43:16,820 fail2ban.comm : WARNING Invalid command: ['/']
2009-10-11 10:43:19,674 fail2ban.comm : WARNING Invalid command: ['help']
2009-10-11 10:43:40,300 fail2ban.actions.action: ERROR printf %b "Subject: [Fail2Ban] SSH: stopped
From: Fail2Ban
To: you@mail.com\n
Hi,\n
The jail SSH has been stopped.\n
Regards,\n


Собственно я понимал, что указанные сообщения явно к лог файлу не имеют прямого отношения, а попали исключительно из-за ошибок в программе или невыполненных требований.
При этом защита реально работала, но что-то нужно было делать с жуткими сообщениями.
Вообщем дополнительно пришлось установить 2 программы: sendmail и whois, затем я подправил файл /etc/fail2ban/jail.conf, где сократил количество попыток до 3-х, а время блокирования до 30 минут. При этом указал получателем почты root@localhost.
И теперь на почту рута приходят подробные письма о том что хост xxx.xxx.xxx.xxx был заблокирован, а в лог журнале содержатся вот такие записи:

2009-10-14 01:01:11,624 fail2ban.actions: WARNING [ssh-iptables] Ban 93.92.47.25
2009-10-14 01:31:11,946 fail2ban.actions: WARNING [ssh-iptables] Unban 93.92.47.25
2009-10-14 10:16:02,992 fail2ban.actions: WARNING [ssh-iptables] Ban 87.106.252.228
2009-10-14 10:46:03,880 fail2ban.actions: WARNING [ssh-iptables] Unban 87.106.252.228
2009-10-14 13:12:05,979 fail2ban.actions: WARNING [ssh-iptables] Ban 88.191.90.137
2009-10-14 13:42:06,786 fail2ban.actions: WARNING [ssh-iptables] Unban 88.191.90.137
2009-10-14 15:48:35,837 fail2ban.actions: WARNING [ssh-iptables] Ban 112.216.245.235
2009-10-14 16:18:36,078 fail2ban.actions: WARNING [ssh-iptables] Unban 112.216.245.235


Моя оценка: программа - классная. У брут-форсеров отбивает охоту взлома на 100%. Вообщем рекомендую!.

И снова о безопасности SSH

День добрый продолжаю увлекательную беседу о попытках взлома через SSH.
Сегодня я составил список самых используемых "хакерами *" имен.
Привожу состав 20-ки:

Всего, за время наблюдения накопилась статистика из 1980 имен пользователей, ни одно из которых не разрешено к входу на компьютер.
Сегодня решил поискать в интернете сайты где эти самые "хакеры" ищут вдохновение и нашел презабавный ресурс, вот одна из веток (http://www.hack-info.ru/showthread.php?t=40071)

(ShadoW)
Добрый день, уважаемые хакеры, прошу поделиться советом, существует некий хаб на стоящий на оси линкус естественно там верли хаб платформа, меня интересует взлом этого компа, вот что я про него узнал :
Round Trip Time (RTT): <10 ms
Time To Live (TTL): 62
TCP порты (5)
21 ftp => File Transfer Protocol 220 "Welcome to ZiON Hub FTP service. Have a nice day! "
22 ssh => Remote Login Protocol SSH-1.99-OpenSSH_4.2
53 domain => Domain Name Server
80 http => World Wide Web HTTP HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Sat, 07 Jun 2008 21:58:47 GMT
Server: Apache/2.2.0 (Linux/SUSE)
X-Powered-By: PHP/5.2.0
Connection: close
Content-Type: text/html

6666 irc => Mirc$Lock EXTENDEDPROTOCOL_verlihub Pk=version0.9.8d-RC2| This Hub Is Running Version 0.9.8d-RC2 (Thursday September 13 2007) of VerliHub[RunTime:1weeks 1days ].[Current User Count:183].|

UDP порты Обнаружено наличие межсетевого экрана. Проверить UDP порты невозможно.
Меня интересует самый быстрый и удобный способ взлома этого компа, прошу помочь в данном вопросе....

xazlon
Cтоит никс SUSE, стоит апач 2.2 ищи на них експлойты.
А вообще раз крутятся и апач и похапэ ищи скрипты, а в скриптах баге и дырке =\

(ShadoW)
А Брут Форсов нету для Remote Login protocol? (SSH)

xazlon
Eсть, нопремер гидра (hydra). (Идёт как под никсы так и под окна)
Брутит многие протоколы, брутер консольный.

(ShadoW)
знаю гидру даже качал но не пользовался, там надо вроде словарь перебора сочинять..


Ннда брут форсом по SSH - это как с напильником против авианосца.
Кстати о брут форсе: наткнулся на интересную программу fail2ban - при 5 неверных попытках регистрации (я говорю о sshd) блокирует хост на 600 секунд. Поставил, посмотрю, отпишу.


* Термин ХАКЕР взят в кавычки, поскольку ставить на один уровень технокрыс, использующих готовые программы для взлома, с Кевином Митником , Линусом Торвальдсом, Ричардом Столлманом просто язык не поворачивается. Остается одна надежда, что эти школьники когда нибудь повзрослеют и займутся тем, что у них действительно будет получаться, например устанавливать бордюрный камень, делать мебель или укладывать тротуарную плитку, впрочем чего это я так - они же всего-навсего дети!

Один день из жизни моего "качка"

Вот уж не думал что тема попытки взлома может быть столь захватывающей.
Решил я проанализировать лог журнал моего минисервера - "Качка". Для этого взял один сегодняшний день. Выгрузил лог журнал в текстовой файл и обработал его OpenOffice calc. И увидел, что представляю определенный интерес для народа во всемирной паутине. В доступ у меня открыты службы ssh и ftp. Публичный каталог FTP пуст и он мало кого интересует (сам то я использую защищенный ftp через ssh), но зато народ ищет способы зайти по ssh.

Для начала - статистика попыток зайти на компьютер с учетной записью root:
IP 125.7.235.35 попыток 1
IP 200.93.146.118 попыток 122
IP 217.195.176.231 попыток 59
IP 220.241.87.228 попыток 13

Дальше - анализ числа попыток взлома, который фаерволл идентифицирует как reverse mapping checking getaddrinfo for corporat200-093146118.sta.etb.net.co [200.93.146.118] failed - POSSIBLE BREAK-IN ATTEMPT!
(Днем позже:
Посмотрел в интернете что такое reverse mapping checking - оказалось что это вид проверки стучащегося хоста, имя с которым он заходит соответствует ли IP адресу, так что это сообщение системы безопасности а не попытка взлома как таковая)

IP 200.93.146.118 Кол-во попыток 295
IP 217.195.176.231 Кол-во попыток 107

И наконец анализ использованных для входа имен пользователей:

IP 200.93.146.118 перебирал следующие имена (166):
admin, advanced, alex, american, andrea, andreas, annmarie, antonio, apache, archive, ariel, army, arnold, backup, bebe, beer, beth, bob, capital, cathy, christian, daniel, darwin, david, debian, default, dennis, don, download, eagle, ed, edith, eli, elite, elke, eric, erik, erika, erwin, express, fran, france, fritz, gaby, ghost, gigi, gloria, greg, guest, guest1, guest10, guest2, guest3, guest4, guest5, guest6, guest7, guest8, guest9, harry, house, httpd, ip, jessica, jesus, joel, jojo, judith, julien, kiss, library, linux, linux10, linux2, linux3, linux4, linux5, linux6, linux7, linux8, linux9, magician, mailman, maker, mama, mantest, marck, margie, mario, mark, matt, melanie, michael, michelle, monitor, movie, movies, mp3, music, neo, nick, notes, oracle, orders, papa, paul, pete, postgres, postmaster, rabbit, raider, ralph, redhat, rob, roberto, rocky, sales, samba, scanner, sean, security, server, service, smmsp, smoke, software, squid, status, stephane, super, suzanne, tanya, temp, test, test1, test10, test2, test3, test4, test5, test6, test7, test8, test9, tina, update, upload, user1, user10, user2, user3, user4, user5, user6, user7, user8, user9, victor, virus, webmaster, webuser, windows, work

IP 217.195.176.231 перебирал следующие имена (43):
account, adam, alan, apache, backup, cip51, cip52, cosmin, cyrus, data, frank, george, henry,horde, iceuser, irc, jane, john, master, matt, noc, oracle, pamela, patrick, rolo, server, sybase, test, user, web, webmaster, www, www-data, wwwrun

Вот такие нешуточные страсти кипят вокруг безобидного компьютера.

О KDE 4.3 и немного о безопасности в сети

Добрый вечер уважаемый посетитель.
Сегодня я перелистал свой блог и обнаружил, что ничего не сказал о новой версии KDE. С моей стороны это баааальшое упущение. Скажу вот что: KDE 4 начиная с версии 4.3 действительно созрел. Не верите? смотрите сами:

Мой сеанс на минисервере (так называемом качке, о котором я уже писал ранее, но напомню Intel celeron 1200, 1Гб памяти, 160 Гб винчестер с установленной 64 битной ОС Mandriva 2009.0. Энергопотребление в режиме работы сервера без монитора 40 Вт. Из служб: сервера NFS, FTP, SSH, Transmission+WEB).
И как Вы можете судить по открытому окну интерактивного файрволла достаточно безопасная система.
Ну а ниже хочу продемонстрировать небольшой отрывок из системного журнала аутентификации.

Как Вы можете заметить некий тип долгое время не прекращал попыток подобрать пароль к заблокированному на вход пользователю root на SSH сервере. Хочу отметить временной лаг между попытками авторизации. При таких скоростях "гостю" понадобится лет 200 чтобы перебрать пароли по словарю и наконец понять что войти ему не удастся. Впрочем при таких "хакерах" я сплю спокойно.
Да о чем это я? Обещал же хвалить KDE. Да и про свою любимую Suse как-то ничего не сказал.
Восполняю пробел:
Собственный 3D куб в KDE на OpenSuse 11.1


"Липкие окна"


И просто рабочий стол с открытыми фотографиями с цифрового фотоаппарата


Вообщем рекомендую всем! На зависть подоконникам, которые когда нибудь возможно получат что-нибудь подобное.

Думайте сами

Добрый день уважаемый читатель.
Сегодня я хотел наглядно объяснить почему именно я доверяю линукс. Взгляните на 2 команды разработчиков и думаю Вам станет очевиден мой выбор.

Вот команда openSUSE Boosters


А сравнивать мы будем с командой разработчиков IE7


Еще вопросы?